Les appels frauduleux utilisant de faux numéros, provenant du soi-disant « département de la Justice » américain ou du fisc canadien, n’ont pas disparu malgré les ordonnances et les ultimatums du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC).

Et si les fournisseurs canadiens ont en grande majorité accepté de combattre ce fléau, une obligation réglementaire depuis le 30 novembre 2021, « de nombreux problèmes techniques » sont venus leur compliquer la tâche, a déclaré ce jeudi Ian Scott, président du CRTC, devant le Comité permanent de l’industrie et de la technologie.

« Il n’y a pas de solution unique — pas de solution miracle — qui puisse mettre fin à ce fléau, a-t-il admis. C’est pourquoi nous avons mis en place une stratégie robuste qui s’appuie sur un certain nombre de solutions techniques et réglementaires. »

L’essentiel de la stratégie du CRTC est axé sur l’implantation d’une norme appelée STIR/SHAKEN, un acronyme pour « Secure Telephony Identity Revisited/Signature-based Handling of Asserted information using toKENs ». En clair, « cette technologie permet aux fournisseurs de services de vérifier si l’identité d’un appelant est digne de confiance », a expliqué M. Scott, pour les appels vocaux utilisant le protocole internet. Une première échéance pour obliger les fournisseurs canadiens à l’implanter avait été fixée au 31 mars 2019, puis repoussée à septembre 2020, à juin 2021 et, enfin, au 30 novembre dernier.

Pas une panacée

La plupart des fournisseurs canadiens, dont les plus importants comme Bell, Rogers, Telus et Shaw, estiment avoir respecté cette échéance. Trente et un d’entre eux ont déposé comme exigé leur premier rapport en mai dernier. Ces documents, très caviardés dans leur version disponible au public, ne permettent pas réellement d’évaluer l’efficacité de cette initiative.

Mais on trouve tout de même dans plus de la moitié de ces rapports une des raisons pour lesquelles la norme STIR/SHAKEN n’est pas une panacée. Celle-ci n’est en effet efficace qu’avec les appels utilisant le protocole internet (IP) de bout en bout. Or, nombre d’appels frauduleux recourent à plusieurs connexions, dont certaines ne sont pas IP, ce qu’on appelle dans le jargon technique « Time Division Multiplexing ». Le sigle de TDM est mentionné dans 16 des rapports d’étape déposés en mai dernier.

« Un circuit vocal TDM [est] considéré non adapté [à la norme STIR/SHAKEN], explique notamment dans son rapport Québecor, propriétaire de Vidéotron. En date du 30 juin 2021, nous n’avions pas encore mis à niveau nos systèmes voix aux normes STIR/SHAKEN. Conséquemment, nous n’avions aucun circuit vocal adapté pour l’authentification et pour la vérification STIR/SHAKEN. »

Vidéotron assure être « présentement en train d’identifier les compteurs et de définir la méthodologie » pour rendre son réseau compatible.

« Un pourcentage significatif des interconnexions entre fournisseurs est encore sur TDM, renchérit Telus dans son rapport de mai dernier. Alors que Telus continue d’encourager ses partenaires à migrer vers des interconnexions IP, il faudra un certain temps pour atteindre complètement cet objectif. »

Aux États-Unis, la Federal Communications Commission (FCC), l’équivalent du CRTC, demande depuis 2020 à l’industrie de pallier cette faiblesse. Un premier standard a été approuvé en juin 2021.

D’autres armes

Selon le président du CRTC, Ian Scott, l’intelligence artificielle est « une nouvelle arme prometteuse » dans la lutte contre les appels frauduleux. Au terme d’un essai de 15 mois, Bell avait obtenu en décembre 2021 l’autorisation de mettre en œuvre sa technologie basée sur l’IA. « À ce jour, y compris la période d’essai, plus de 1,5 milliard d’appels ont été interceptés et bloqués avec succès dans le réseau de Bell », a précisé M. Scott.

Quant à la liste nationale de numéros de télécommunication exclus, implantée en 2008 et qui permet aux Canadiens de signifier leur refus de recevoir certains appels non sollicités, elle compte aujourd’hui 14,6 millions de numéros, a-t-il précisé. Cette méthode, cependant, est de peu d’utilité avec les appels IP dont on peut facilement changer le numéro d’origine.

« Le problème des appels frauduleux ne se limite pas au Canada ; c’est un problème dans la plupart des pays anglophones, a conclu le président du CRTC devant le comité. Rien qu’aux États-Unis, on estime que 2100 appels automatisés sont envoyés aux consommateurs chaque seconde. »

Dans une version précédente, TDM était décrit par erreur comme l’acronyme de « Time Difference Multiplexing ».

En savoir plus
  • 14 202
    Nombre de fraudes d’extorsion signalées en 2021, où des arnaqueurs ont usurpé une identité par téléphone ou par courriel.
    Centre antifraude du Canada